6月1日黑客通過#EDU#智能合約漏洞無中生有的派生30億枚EDU Token代幣,通過拋售EDU Token,獲得BTC現貨,再順勢拋售BTC現貨,引發BTC市場動盪,通過做空OKEX的BTC合約完成跨交易所變現,再一次完美的繞過火幣Pro數字貨幣交易平臺的監管,成功完成了對EDU的狙擊、變現,整個操作用時不足4天的時間,手法更加嫻熟老練。
5月29日下午360安全團隊在微博上發佈公告稱,360Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。一石激起千層浪,這個消息在網上立馬引起了軒然大波。
從以太坊到EOS,一波未平一波又起,區塊鏈漏洞頻頻爆出,整個行業價值數百億美金的資產安全岌岌可危。是時候,我們該清醒一下了。那麼如何打造一個世界級的安全平臺呢?也許我們可以用目前國內最火的公鏈項目——比原鏈作為一個案例剖析,來揭開區塊鏈安全世界的幕後秘密。
“比原鏈是一種多元比特資產的交互協議,運行在比原鏈區塊鏈上的不同形態的、異構的比特資產(原生的數字貨幣、數字資產)和原子資產(有傳統物理世界對應物的權證、權益、股息、債券、情報資訊、預測信息等)可以通過該協議進行登記、交換、對賭、和基於合約的更具複雜性的交互操作” ——比原鏈白皮書
比原的應用場景
比原鏈設計的定位就是一個去中心化的資產交互協議,在比原鏈上用戶可以用智能合約來管理/投資他們的資產。 比原鏈有廣泛的應用場景,比如下面的幾個例子。
可以是無需信用背書的C2C幣幣交易工具:現階段區塊鏈的投資者如果要進行一筆幣幣交易的話,必須通過第三方的中介。而比原的優勢在於可以在鏈上完成原子化的幣幣交易。
可以是保證預測市場的協議得到公正執行:比原鏈將協議寫入智能合約,到期自動執行,不需要第三方介入擔保從而杜絕暗箱操作。
可以是公司期權分配的管理者:將公司的期權交給區塊鏈管理,期權激勵等行為依靠智能合約來實現。
由上可見,比原鏈管理的資產都是非常有價值的,所以需要設計一個安全穩定的系統。
鏈上認證保證資產不可造假
比原鏈是做資產管理的專用型公鏈,所以它允許任何人在上面發行自己的資產。這就會帶來一個不可避免的問題:這麼多資產的真實性如何保障?為解決這個問題,比原鏈引入了“ODIN”技術(Open Data Index Name)為可信任公司/個人提供“區塊鏈CA認證”,拿到了root級認證的公司就擁有了自證身份的能力,可以為自己公司旗下發布的資產進行二甚至多級的資產驗證。通過這種方式可以保證資產全網的唯一性,即使在跨鏈的場景下。
合約故障隔離
11月7日一個叫做“devops199”的開發者觸發了以太坊Parity錢包漏洞,使51.37萬個以太凍結至今。 這次錯不在Parity錢包,漏洞出在錢包調用的一個library(以太坊的底層庫函數,可以理解成公用合約)上。因為以太坊的合約調用是把地址當指針使用,每次執行用戶編寫的智能合約都要調用library。“devops199”把底層庫函數破壞的同時相當於把所有合約的指針都破壞了,從而使得所有錢包裡的資金被永久凍結,只能期待日後的硬分叉來解決這個問題。
比原鏈交易的設計思路其實更接近比特幣,即一切都基於UTXO(Unspend Transaction Out)。每一筆比原鏈上的資產UTXO都是由圖靈完備的智能合約守護。比原鏈的合約調用是創建智能合約的時候就將調用合約作為子合約加入進來,以後不管調用的合約模版是否更改或出現漏洞,都不會影響所有已經完成的智能合約。
閱讀更多 清風伴月hua 的文章
